Wer darf wann auf welche Daten zugreifen? Wie groß müssen welche Systeme dimensioniert sein? Und wie behalten IT-Verantwortliche dabei den Überblick? Eine hybride Cloud-Infrastruktur zu entwerfen ist eine komplexe Herausforderung. Schließlich hat jede Branche, ja jedes Unternehmen andere Ansprüche und verschieden große Budgets zur Verfügung: „Lösungen von der Stange gibt es hier nicht und wären auch nicht sinnvoll. Noch dazu verfügen längst nicht alle Unternehmen über Fachkräfte im eigenen Haus, die in der Lage sind, eine komplexe hybride Cloud-Infrastruktur zu entwerfen“, sagt Sascha Smets, Senior Product Manager Open Telekom Cloud bei T-Systems. „Aus diesem Grund greifen immer mehr Unternehmen auf unsere Expertise zurück. Wir helfen Firmen beim Entwurf, Aufbau und Betrieb derartiger IT-Topologien.“

Dabei müssen Unternehmen die entstehenden Kosten mit Performance, Komplexität, Sicherheit und Latenz abwägen. Die vier gängigsten Topologien, nach denen Unternehmen hybride Cloud-Architekturen entwerfen können, heißen: Public Front, Private Front, Private Isolated und Clean Sheeting.

Die Public-Front-Topologie ist für Unternehmen geeignet, die zum einen von der Skalierbarkeit und den flexiblen Kosten der Public Cloud profitieren möchten, zum anderen jedoch ihren Kunden keinen Zugriff auf ihre private Cloud-Instanz geben wollen. Anfragen von außen landen automatisch in der Public Cloud. Nur, wenn es nötig ist, werden Anfragen von dort aus in die Private Cloud weitergeleitet. Einen direkten Zugriff auf die private Instanz bleibt Mitarbeitern des Unternehmens über eine gesicherte Verbindung vorbehalten. Und wozu das Ganze? Mit der Public-Front-Topologie haben Firmen die Möglichkeit, besonders sensible Daten auf eigenen On-Premises-Ressourcen zu verarbeiten, ohne auf die Vorteile einer skalierbaren Public Cloud verzichten zu müssen.

Außerdem können sie mit diesem Konstrukt ihre Systeme vor unerwarteten Traffic-Peaks schützen. Denn wenn Anfragen via Internet Protocol (IP) in der Public Cloud landen, bleibt das eigene Netzwerk – die Private Cloud – von diesem Traffic verschont. Kommt es zu unerwartet vielen Anfragen, lassen sich diese in der Public Cloud durch die dort verfügbaren, frei skalierbaren Ressourcen problemlos auffangen. Dadurch nutzen und bezahlen Unternehmen für ihr Webfront- und Backend immer nur genau so viel, wie sie auch benötigen und profitieren zugleich von einem Höchstmaß an Sicherheit und geringer Latenz dank eigener Ressourcen in der Private Cloud. Die On-Premises-Ressourcen können auf ein Minimum reduziert werden, das hält die Kosten insgesamt gering.

Wer etwa Informationen über Zugverbindungen, Umsteigezeiten oder die aktuelle Verkehrslage haben möchte, erhält sie aus der Public Cloud, denn Webfront- und Backend liegen dort. Selbst bei unerwartet vielen Anfragen – beispielsweise bei einem Bahnstreik oder Unwetter – ist die Website gerüstet, denn die Ressourcen skalieren in der Public Cloud automatisiert mit dem Bedarf.

Erst, wenn jemand ein Ticket buchen möchte, kommt die Private Cloud ins Spiel. Hier werden personenbezogene Daten gespeichert und verarbeitet, liegen darüber hinaus sensible Daten wie etwa Abrechnungsinformationen oder firmeninterne Daten. Ähnlich wäre es beispielsweise bei einem Kinobuchungsportal. Auch hier können alle Anfragen, die hohen Traffic erzeugen, in die Public Cloud laufen. Zum Beispiel das Hosten und Abspielen von Kinofilm-Trailern. Erst der Buchungsprozess, bei dem sensible persönliche Daten und Bezahlinformationen anfallen, wird mithilfe der Private Cloud abgewickelt. 

Manchmal ist jedoch genau das umgekehrte Szenario sinnvoll: Wenn überraschend hoher Traffic auszuschließen ist, können auch Private-Front-Modelle Vorteile bieten. So haben Unternehmen, die sämtliche IP-Anfragen über ihre On-Premises-Ressourcen laufen lassen, den bestmöglichen Überblick darüber, woher welche Anfragen kommen – und damit sämtliche Netzwerkzugänge unter Kontrolle. Der Vorteil: Ein Höchstmaß an Informationen und Steuerungsmöglichkeiten. Denn mit dieser Topologie können Unternehmen in Echtzeit nachverfolgen, wer wann welche Informationen abruft. Und im Falle von unerwünschten Anfragen – zum Beispiel bei Distributed-Denial-of-Service-Attacken (DDoS) – entsprechende IP-Adressen blockieren oder umleiten.

Darüber hinaus erfüllen Unternehmen, die eine Private-Front-Topologie nutzen, ein Höchstmaß an Sicherheit und Compliance. Denn damit gelangen Kundendaten nicht in die Public Cloud; auch nicht kurzzeitig, wie bei der Public-Front-Topologie. Interessant ist dieses Modell beispielsweise für Hersteller von Maschinen, die mit einer in der Private Cloud gehosteten Plattform vernetzt sind. Weil auch Daten von Maschinen, die bestimmten Kunden zugeordnet sind, vor dem Gesetz als personenbezogene Daten gelten, speichern Anbieter diese bevorzugt in der Private Cloud. Und das können sie auch bedenkenlos – nicht nur in Bezug auf Datenschutz, sondern auch, weil die Menge der Daten stets kalkulierbar bleibt: Wer Maschinendaten empfängt, kann mit konstantem Informationsfluss rechnen. Überaschende Traffic-Peaks sind nicht zu erwarten.

Dennoch können Unternehmen auch im Private-Front-Modell von den Vorteilen der Public Cloud profitieren, etwa für Burst-Szenarios, Analysen oder Machine-Learning-Prozesse. So können sie Kunden- oder Maschinendaten beispielsweise anonymisieren, bevor sie diese in die Public Cloud transferieren, um sie dort zu analysieren oder dafür zu nutzen, eine KI zu trainieren. Das können Daten aus einem ERP-System sein, die genutzt werden, um Prognosen für das Kaufverhalten von Kunden zu erstellen, oder Daten von Maschinen, die bei Kunden im Einsatz sind, um sie für Predictive-Maintenance-Prozesse zu nutzen.

Nachteil der Private-Front-Topologie sind die etwas höheren Kosten. Denn um die Verfügbarkeit eigener Dienste jederzeit zu gewährleisten, brauchen Unternehmen hierbei ein Maß an Ressourcen in der Private-Cloud-Instanz, das mindestens der maximal zu erwartenden Nutzung entspricht – Anfragen von außen eingeschlossen. Damit muss der On-Premises-Anteil im Vergleich zur Public-Front-Topologie zwangsläufig größer ausfallen, was sich in entsprechend höheren Kosten für die nicht skalierbaren Ressourcen niederschlägt.

So gut das Zusammenspiel zwischen Private und Public Cloud funktionieren kann, erfordern bestimmte Anwendungsszenarien jedoch eine strikte Trennung zwischen den Instanzen. So darf oder kann in manchen Branchen keinerlei Verbindung zwischen On-Premises- und Public-Cloud-Instanzen bestehen. „Damit sehen sich manche Unternehmen mit einem Problem konfrontiert, denn die meisten Provider bieten eine hybride Cloud-Lösung nur mit einer bestehenden Verbindung zur Public-Cloud-Instanz an“, sagt T-Systems-Cloud-Experte Smets. „In Deutschland bietet aktuell nur die Open Telekom Cloud Hybrid einen vollständig getrennten Betrieb von Public- und Privat-Cloud-Ressourcen auf identischer Hardware- und gleicher Software-Architektur-Basis.“

Beim isolierten Betrieb der Instanzen können Unternehmen Kundenanfragen über die Public Cloud abwickeln. Automobilkonzerne nutzen für weniger sensible Vorgänge wie beispielsweise das Hosting der Website inklusive Car-Konfigurator die Public Cloud. Geheime Firmendaten wie Konstruktionszeichnungen von Prototypen, Crashtest- oder Windkanalsimulationen verlassen jedoch zur Sicherheit nie das Firmengelände und werden in der Private Cloud durchgeführt – ohne jede Verbindung nach außen.

Die komplexeste Topologie besteht in der Kombination aller Varianten: Beim so genannten Cleansheeting erstellen Unternehmen ein komplexes Regelwerk, aus dem hervorgeht, welcher Nutzer zu welchem Zeitpunkt auf welche Ressourcen zugreifen darf. Damit verbinden Unternehmen alle Vorteile sämtlicher Betriebskonzepte in einem. Mitarbeiter müssen sich nicht mehr um die Frage kümmern, woher benötigte Ressource kommen und können sich auf das Kerngeschäft konzentrieren – sowohl in den Fachabteilungen, als auch in der IT. Jede Anfrage wird nach bestimmen Vorgaben von einem automatisierten Broker aus der Public oder der Private Cloud bedient, die Wahl fällt auf die jeweils günstigste Betriebsart – unter Berücksichtigung der Policies. Dadurch sparen Unternehmen zweifach: Einmal durch Automatisierung, und noch einmal durch die jeweils günstigste Betriebsart.

Auch Kunden werden von einer automatisierten Logik je nach Anfrage in die Private oder in die Public Cloud geleitet. Sie dürfen nur unter bestimmten Voraussetzungen direkt auf die Private Cloud zugreifen, dennoch sind Unternehmen für unerwarteten Traffic-Ansturm dank Public Cloud immer gerüstet. Sensible Daten bleiben in der Private Cloud.

Die Schwierigkeit bei dieser Topologie: Der Aufwand und die Herausforderung, den Überblick zu behalten. „Beim Cleansheeting kann jeder Fehler gravierende Folgen haben. Für den Entwurf einer solchen Architektur ist tiefgreifende Expertise gefragt“, sagt Smets. „Noch ein Grund, weshalb Unternehmen dabei am besten auf einen erfahrenen Partner wie die Telekom setzen, der sich nicht nur um den Entwurf kümmert, sondern bei Bedarf auch anschließend Betrieb und Wartung umsetzt, sodass sich wirklich alle Mitarbeiter um das Kerngeschäft kümmern können.“

Interessierte Unternehmen, die mithilfe der Telekom eine hybride Cloud-Architektur planen möchten, können sich direkt an das Telekom-Cloud-Team wenden.